La panne survenue au début du mois de juin qui a affecté Microsoft Outlook était en réalité le résultat d'une cyberattaque.


Si vous utilisez régulièrement les services de Microsoft, il est possible que vous ayez été affecté par la gigantesque panne qui a eu lieu au début du mois de juin. Pendant près de quinze heures, des services en ligne tels que Azure, Outlook, Teams et OneDrive étaient soit inaccessibles, soit difficilement utilisables. Microsoft vient de révéler les raisons de cet incident, qui n'était pas simplement une panne technique. En réalité, ces services ont été victimes d'une attaque DDoS.Une attaque DDoS, également connue sous le nom d'attaque par déni de service, consiste à submerger un ou plusieurs sites web en les inondant de requêtes malveillantes.

 Dans le cas de l'attaque qui a touché Microsoft, les pirates ont utilisé de nombreux serveurs VPS (serveurs virtuels privés), ainsi que des proxies ouverts et une infrastructure Cloud louée spécialement pour l'occasion. Ils ont également utilisé des outils conçus spécifiquement pour ce type d'attaque. Bien que cette attaque ait été considérée comme sophistiquée par Microsoft, l'entreprise assure qu'aucune donnée utilisateur n'a été compromise.Selon Microsoft, le groupe responsable de l'attaque, qu'il a nommé Storm-1359, semble principalement motivé par la perturbation des services de Microsoft et la recherche de publicité. Le groupe dispose d'une collection de botnets et d'outils qui lui permettent de lancer des attaques DDoS à partir de différents services Cloud et infrastructures proxy ouvertes.

Dans un billet de blog, Microsoft a déclaré : "Storm-1359 semble se concentrer sur les perturbations et la publicité."Sans entrer dans les détails de l'attaque, Microsoft a fourni quelques informations techniques sur la méthode employée par les pirates. À l'aide de botnets, le groupe aurait effectué trois types d'attaques. La première consistait à submerger les serveurs de Microsoft de millions de requêtes HTTP(S) provenant du monde entier et distribuées via différentes adresses IP. Cette augmentation soudaine du trafic a entraîné une saturation des ressources du serveur d'application (processeur et mémoire), ce qui l'a rendu incapable de répondre. 

Dans la deuxième attaque, les pirates auraient tenté de contourner le cache des serveurs afin de surcharger les serveurs d'origine. Enfin, ils auraient utilisé une attaque de type Slowloris, qui consiste à envoyer une requête partielle pour forcer le serveur Web à maintenir la connexion ouverte et à conserver en mémoire la ressource demandée mais non distribuée.